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Euroopan tietosuojaneuvosto 


ottaen huomioon luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden 
tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta 27 päivänä huhtikuuta 2016 
annetun Euroopan parlamentin ja neuvoston asetuksen (EU) 2016/679 70 artiklan 1 kohdan 
e alakohdan 


ON ANTANUT SEURAAVAT OHJEET: 


1 OSA1-JOHDANTO 


1.1 Taustaa 


Euroopan unionin perusoikeuskirjan 8 artiklan mukaisesti henkilötietojen käsittelyn on oltava 
asianmukaista ja sen on tapahduttava tiettyä tarkoitusta varten ja laissa säädetyn oikeuttavan 
perusteen nojalla. Tältä osin yleisen tietosuoja-asetuksen! 6 artiklan 1 kohdassa säädetään, että 
käsittely on lainmukaista ainoastaan jos ja vain siltä osin kuin vähintään yksi 6 artiklan 1 kohdan a- 
f alakohdassa säädetyistä edellytyksistä täyttyy. Käsittelyn tavoitetta ja keskeisiä osia vastaavan 
asianmukaisen oikeusperusteen identifiointi on merkittävän tärkeää. Rekisterinpitäjien on muun 
muassa otettava huomioon rekisteröityjen oikeuksiin kohdistuvat vaikutukset identifioidessaan 
asianmukaista lainmukaista perustetta, jotta kohtuullisuusperiaatetta noudatettaisiin. 


Yleisen tietosuoja-asetuksen 6 artiklan 1 kohdan b alakohdassa säädetään lainmukainen peruste 
henkilötietojen käsittelylle siltä osin, kuin ”käsittely on tarpeen sellaisen sopimuksen täytäntöön 
panemiseksi, jossa rekisteröity on osapuolena, tai sopimuksen tekemistä edeltävien toimenpiteiden 
toteuttamiseksi rekisteröidyn pyynnöstä”.? Tällä tuetaan elinkeinovapautta, joka taataan 
perusoikeuskirjan 16 artiklassa, ja huomioidaan se seikka, että toisinaan rekisteröityä koskevia 
sopimusvelvoitteita ei voida täyttää, ellei rekisteröity toimita tiettyjä henkilötietoja. Jos käsittely on 
olennainen osa pyydetyn palvelun toimittamista, tietojenkäsittely on kummankin osapuolen etujen 
mukaista, sillä muutoin palvelua ei voida toimittaa eikä sopimusta suorittaa. Mahdollisuus soveltaa 
tätä, tai muuta 6artiklan 1kohdassa mainittua oikeusperustetta, ei kuitenkaan vapauta 
rekisterinpitäjää yleisen tietosuoja-asetuksen muiden vaatimusten noudattamisesta. 


Euroopan unionin toiminnasta tehdyn sopimuksen 56 ja 57 artiklalla määritellään ja säännellään 
palvelujen tarjoamisen vapautta Euroopan unionissa. Tietoyhteiskunnan palveluiden osalta on annettu 
erityisiä Euroopan unionin säädöksiä.? Kyseiset palvelut määritellään seuraavasti: ”kaikki etäpalveluina 
sähköisessä muodossa palvelun vastaanottajan henkilökohtaisesta pyynnöstä toimitettavat palvelut, 
joista tavallisesti maksetaan korvaus”. Määritelmä koskee myös palveluita, joita vastaanottavat 


1 Euroopan parlamentin ja neuvoston asetus (EU) 2016/679, annettu 27 päivänä huhtikuuta 2016, luonnollisten henkilöiden 
suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta 
(yleinen tietosuoja-asetus). 

2 Ks. myös johdanto-osan 44 kappale. 

3 Ks. esim. Euroopan parlamentin ja neuvoston direktiivi (EU) 2015/1535 sekä yleisen tietosuoja-asetuksen 8 artikla. 


henkilöt eivät maksa niistä suoraan,? kuten mainonnalla rahoitettavia verkkopalveluita. Näissä ohjeissa 
”verkkopalveluilla” tarkoitetaan tietoyhteiskunnan palveluita. 


EU:n lainsäädännön kehityksessä huomioidaan verkkopalveluiden keskeinen merkitys nykyaikaisessa 
yhteiskunnassa. Aina toiminnassa olevien langattomien internetyhteyksien yleistyminen ja internetiin 
kytkettävien laitteiden laaja saatavuus ovat mahdollistaneet verkkopalveluiden kehityksen esimerkiksi 
sosiaalisen median, verkkokaupan, internetin hakupalveluiden, viestinnän ja matkailun aloilla. Joitain 
näistä palveluista rahoitetaan käyttömaksuilla, mutta osaa tarjotaan kuluttajalle ilman rahallista 
korvausta. Sen sijaan palvelut rahoitetaan myymällä verkkomainontapalveluita, jotka voidaan 
kohdentaa rekisteröidyille. Kuluttajakäyttäytymistä seurataan tällaista mainontaa varten tavoilla, 
joista käyttäjä usein ei ole tietoinen, eikä seuranta välttämättä käy välittömästi ilmi toimitetun 
palvelun luonteesta. Tämän vuoksi rekisteröidyn on käytännössä lähes mahdotonta tehdä riittävään 
tietoon perustuvaa valintaa omien tietojensa käytöstä. 


Edellä sanotun vuoksi Euroopan tietosuojaneuvosto* katsoo asianmukaiseksi antaa ohjeet 6 artiklan 
1 kohdan b alakohdan soveltamisesta henkilötietojen käsittelyyn verkkopalveluiden yhteydessä, jotta 
varmistettaisiin, että tätä lainmukaista perustetta käytetään vain kun se on asianmukaista. 


29 artiklan mukainen tietosuojatyöryhmä (tietosuojatyöryhmä) on aiemmin ilmaissut näkemyksensä 
direktiivin 95/46/EY mukaisesta sopimusvelvoitteisesta perusteesta rekisterinpitäjän oikeutetun 
intressin käsitettä koskevassa lausunnossaan.? Yleisesti ottaen tämä ohje on edelleen merkityksellinen 
6 artiklan 1 kohdan b alakohdan ja yleisen tietosuoja-asetuksen kannalta. 


1.2 Ohjeiden soveltamisala 


Nämä ohjeet koskevat 6 artiklan 1 kohdan b alakohdan soveltamista henkilötietojen käsittelyyn 
verkkopalveluita koskevien sopimusten yhteydessä riippumatta siitä, miten palvelut rahoitetaan. 
Ohjeissa esitetään pääpiirteittäin yleisen tietosuoja-asetuksen 6 artiklan 1 kohdan b alakohdan 
mukaisen lainmukaisen käsittelyn osa-alueet ja käsitellään ”tarpeellisuuden” käsitettä siltä osin, kuin 
se koskee ”tarpeellisuutta sopimuksen täytäntöön panemiseksi”. 


Tietosuojasäännöillä ohjataan tärkeitä seikkoja, jotka liittyvät verkkopalveluiden vuorovaikutukseen 
niiden käyttäjien kanssa, mutta asiassa sovelletaan myös muita sääntöjä. Verkkopalveluiden 
sääntelyyn liittyy monialaisia vastuita muun muassa kuluttajaoikeuden ja kilpailuoikeuden aloilla. 
Näihin ohjeisiin ei ole sisällytetty kyseisiä oikeusaloja koskevia näkökohtia. 


Vaikka 6 artiklan 1 kohdan b alakohtaa voidaan soveltaa vain sopimuksiin, näissä ohjeissa ei ilmaista 
näkemystä verkkopalveluita koskevien sopimusten pätevyydestä yleisesti, sillä tämä ei kuulu Euroopan 
tietosuojaneuvoston toimivallan piiriin. Sopimusten ja sopimusehtojen on kuitenkin täytettävä 
sopimuslainsäädännön vaatimukset sekä kuluttajasopimusten osalta myös 
kuluttajansuojalainsäädännön vaatimukset, jotta kyseisiin ehtoihin perustuva käsittely voitaisiin 
katsoa asianmukaiseksi ja lailliseksi. 


4 Ks. tietoyhteiskunnan palveluja, erityisesti sähköistä kaupankäyntiä, sisämarkkinoilla koskevista tietyistä oikeudellisista 
näkökohdista 8 päivänä kesäkuuta 2000 annetun Euroopan parlamentin ja neuvoston direktiivin 2000/31/EY johdanto-osan 
18 kappale. 

5 Tältä osin rekisterinpitäjien on täytettävä yleisessä tietosuoja-asetuksessa säädetyt läpinäkyvyyttä koskevat velvoitteet. 

6 Perustettu yleisen tietosuoja-asetuksen 68 artiklan nojalla. 

7 29 artiklan mukaisen tietosuojatyöryhmän lausunto 6/2014 direktiivin 95/46/EY 7 artiklan mukaisesta rekisterinpitäjän 
oikeutetun intressin käsitteestä (WP217). Ks. erityisesti s. 11, 16, 17, 18 ja 55. 
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Jäljempänä esitetään joitakin yleisiä huomioita tietosuojaperiaatteista, mutta 6 artiklan 1 kohdan 
b alakohdan mukaisen käsittelyn yhteydessä mahdollisesti ilmeneviä kaikkia tietosuojakysymyksiä ei 
käsitellä laajemmin. Rekisterinpitäjien täytyy aina varmistaa, että ne noudattavat 5 artiklassa 
säädettyjä tietosuojaperiaatteita ja yleisen tietosuoja-asetuksen kaikkia muita vaatimuksia sekä 
soveltuvin osin sähköisen viestinnän tietosuojaa koskevaa lainsäädäntöä. 


2 OSA 2-6 ARTIKLAN 1 KOHDAN B ALAKOHDAN ANALYYSI 


2.1 Yleisiä huomioita 


Yleisen tietosuoja-asetuksen 6artiklan 1 kohdan b alakohdan mukaisen käsittelyn lainmukaisen 
perusteen pohdinnassa täytyy ottaa huomioon koko yleinen tietosuoja-asetus, 1 artiklassa säädetyt 
tavoitteet sekä rekisterinpitäjien velvollisuus käsitellä henkilötietoja 5 artiklan mukaisia 
tietosuojaperiaatteita noudattaen. Tähän sisältyy henkilötietojen käsittely asianmukaisella ja 
läpinäkyvällä tavalla sekä käyttötarkoitussidonnaisuutta ja tietojen minimointia koskevien 
velvoitteiden mukaisesti. 


Yleisen tietosuoja-asetuksen 5 artiklan 1 kohdan aalakohdassa säädetään, että henkilötietoja on 
käsiteltävä lainmukaisesti, asianmukaisesti ja rekisteröidyn kannalta läpinäkyvästi. Asianmukaisuuden 
periaatteeseen sisältyy muun muassa rekisteröityjen kohtuullisten odotusten? tunnistaminen, 
käsittelystä rekisteröidyille mahdollisesti aiheutuvien haitallisten seurausten huomioon ottaminen 
sekä rekisteröityjen ja rekisterinpitäjän suhteen ja näiden välisen epäsuhdan mahdollisten vaikutusten 
huomioon ottaminen. 


Kuten edellä mainitaan, laillisuuden kannalta verkkopalveluita koskevien sopimusten on oltava päteviä 
sovellettavan sopimuslainsäädännön mukaisesti. Eräs merkityksellinen tekijä on se, onko rekisteröity 
lapsi. Tällaisessa tapauksessa (ja riippumatta yleisen tietosuoja-asetuksen vaatimusten, myös lapsiin 
sovellettavan erityisen suojan, noudattamisesta)? rekisterinpitäjän on varmistettava, että se noudattaa 
asiaankuuluvia kansallisia lakeja, jotka koskevat lasten kelpoisuutta tehdä sopimuksia. Lisäksi 
rekisterinpitäjän täytyy täyttää muut lakisääteiset vaatimukset, jotta asianmukaisuus- ja 
lainmukaisuudenperiaatteiden noudattaminen varmistettaisiin. Esimerkiksi kuluttajasopimuksissa 
saatetaan soveltaa kuluttajasopimusten kohtuuttomista ehdoista annettua direktiiviä 93/13/ETY 
(kohtuuttomia sopimusehtoja koskeva direktiivi).!? Asetuksen 6 artiklan 1 kohdan b alakohta ei rajoitu 
vain sopimuksiin, joihin sovelletaan Euroopan talousalueen (ETA) jäsenvaltion lainsäädäntöä. ! 


Yleisen tietosuoja-asetuksen 5 artiklan 1 kohdan b alakohdassa säädetään 
käyttötarkoitussidonnaisuuden periaatteesta, joka edellyttää, että henkilötiedot on kerättävä tiettyä, 


8 Joidenkin henkilötietojen odotetaan olevan yksityisiä tai niitä odotetaan käsiteltävän tietyillä tavoilla, eikä tietojen 
käsittelystä pitäisi aiheutua yllätyksiä rekisteröidylle. Yleisessä tietosuoja-asetuksessa kohtuullisten odotusten käsitteeseen 
viitataan nimenomaisesti johdanto-osan 47 ja 50 kappaleessa 6 artiklan 1 kohdan f alakohdan ja 4 kohdan osalta. 

? Ks. johdanto-osan 38 kappale, jossa todetaan, että erityisesti lasten henkilötietoja on pyrittävä suojaamaan, koska he eivät 
välttämättä ole kovin hyvin perillä henkilötietojen käsittelyyn liittyvistä riskeistä, seurauksista, asianomaisista suojatoimista 
tai omista oikeuksistaan. 

10 Kohtuuttomia sopimusehtoja koskevan direktiivin mukaisesti sopimusehtoa, josta ei ole erikseen neuvoteltu, pidetään 
kohtuuttomana, ”jos se hyvän tavan vastaisesti aiheuttaa kuluttajan vahingoksi huomattavan epätasapainon osapuolten 
sopimuksesta johtuvien oikeuksien ja velvollisuuksien välille”. Kuten yleisessä tietosuoja-asetuksessa säädetyn läpinäkyvyyttä 
koskevan velvoitteen mukaisesti, kohtuuttomia sopimusehtoja koskevassa direktiivissä edellytetään selvien ja 
ymmärrettävien ilmaisujen käyttöä. Sellainen henkilötietojen käsittely, joka perustuu kohtuuttomia sopimusehtoja koskevan 
direktiivin nojalla kohtuuttomaksi katsottavaan ehtoon, ei yleisesti ottaen vastaa yleisen tietosuoja-asetuksen 5 artiklan 
1 kohdan a alakohdan vaatimusta siitä, että käsittelyn on oltava laillista ja asianmukaista. 

11 Yleistä tietosuoja-asetusta sovelletaan tiettyihin ETA:n ulkopuolisiin rekisterinpitäjiin; ks. yleisen tietosuoja-asetuksen 
3 artikla. 
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nimenomaista ja laillista tarkoitusta varten, eikä niitä saa käsitellä myöhemmin näiden tarkoitusten 
kanssa yhteensopimattomalla tavalla. 


Asetuksen 5 artiklan 1 kohdan c alakohdassa säädetään tietojen minimoinnin periaatteesta eli siitä, 
että tarkoituksen saavuttamiseksi on käsiteltävä mahdollisimman vähän tietoja. Tällä arvioinnilla 
täydennetään 6 artiklan 1 kohdan b-f alakohdan mukaisia tarvearviointeja. 


Sekä käyttötarkoitussidonnaisuus että tietojen minimointi ovat erityisen merkityksellisiä sellaisten 
verkkopalveluita koskevien sopimusten kannalta, joista ei tyypillisesti neuvotella tapauskohtaisesti. 
Teknologisten edistysaskeleiden myötä rekisterinpitäjät voivat helposti kerätä ja käsitellä enemmän 
henkilötietoja kuin koskaan aikaisemmin. Tämän seurauksena on olemassa akuutti riski siitä, että 
rekisterinpitäjät saattavat pyrkiä sisällyttämään sopimuksiin yleisiä käsittelyä koskevia ehtoja 
voidakseen enimmäistää tietojen keruumahdollisuudet ja käytön ilman, että kyseisiä 
käyttötarkoituksia määritetään riittävästi tai tietojen minimointia koskevia velvoitteita otetaan 
huomioon. Tietosuojatyöryhmä on aiemmin todennut seuraavaa: 


Keräämisen tarkoitus on määritettävä selkeästi ja nimenomaisesti: tarkoituksen on oltava 
kyllin yksityiskohtainen sen määrittämiseksi, millainen käsittely sisältyy tai ei sisälly 
määritettyyn käyttötarkoitukseen, ja sen perusteella on voitava arvioida lainmukaisuus ja 
soveltaa tietosuojatoimia. Näiden syiden vuoksi epämääräinen tai yleisluontoinen 
käyttötarkoitus, kuten esimerkiksi ”käyttäjäkokemuksen parantaminen”, 


”markkinointitarkoitukset”, ”tietoturvatarkoitukset” tai ”tuleva tutkimus”, ei yleensä ilman 
lisätietoja vastaa vaatimusta erityisyydestä. 1? 


2.2 6artiklan 1 kohdan b alakohdan vuorovaikutus muiden lainmukaisten 
käsittelyperustojen kanssa 


Tapauksissa, joissa käsittelyn ei katsota olevan tarpeen sopimuksen täytäntöön panemiseksi, eli kun 
pyydetty palvelu voidaan toimittaa ilman, että kyseistä käsittelyä suoritetaan, Euroopan 
tietosuojaneuvosto tunnistaa, että voidaan soveltaa muuta laillista perustetta sillä edellytyksellä, että 
asiaankuuluvat ehdot täyttyvät. Joissain tilanteissa voi erityisesti olla asianmukaisempaa käyttää 
6 artiklan 1 kohdan aalakohdan mukaista vapaasti annettua suostumusta. Muissa tapauksissa 
asianmukaisempi laillinen käsittelyperuste voi olla 6 artiklan 1kohdan falakohdan säännös. 
Oikeusperuste on määritettävä käsittelyn aloittamisen yhteydessä ja eriteltävä 13 ja 14 artiklan 
mukaisesti rekisteröidyille annettavissa tiedoissa. 


Jokin muu lainmukainen peruste, kuin 6 artiklan 1 kohdan b alakohta, voi sopia paremmin kyseessä 
olevan käsittelytoimen tavoitteeseen ja asiayhteyteen. Asianmukaisen lainmukaisen perusteen 
määrittäminen on yhteydessä kohtuullisuuden ja käyttötarkoitussidonnaisuuden periaatteisiin. 1 


Suostumusta koskevissa tietosuojatyöryhmän suuntaviivoissa selvennetään myös, että ”suostumus ei 
ole asianmukainen laillinen peruste, jos rekisterinpitäjän tarkoituksena on käsitellä henkilötietoja, 
jotka ovat itse asiassa tarpeen sopimuksen täytäntöön panemiseksi”. Sitä vastoin Euroopan 
tietosuojaneuvosto katsoo, että mikäli käsittely ei ole itse asiassa tarpeen sopimuksen täytäntöön 


12 29 artiklan mukaisen tietosuojatyöryhmän lausunto ”Opinion 03/2013 on purpose limitation” (WP203), s. 15-16. 

13 Rekisterinpitäjien on vaikeaa määrittää kohtuullisuusperiaatteen mukaista asianmukaista oikeusperustetta, jos ne eivät ole 
ensin selkeästi määrittäneet käsittelyn tarkoituksia tai jos henkilötietoja käsitellään laajemmin kuin määritettyjen 
käyttötarkoitusten kannalta on tarpeen. 
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panemiseksi, kyseinen käsittely voidaan toteuttaa vain, jos se perustuu muuhun asianmukaiseen 
oikeusperusteeseen.!* 


Rekisterinpitäjien tulisi läpinäkyvyyttä koskevien velvoitteidensa mukaisesti varmistaa, että vältetään 
epäselvyys siitä, mitä oikeusperustetta sovelletaan. Tämän on erityisen merkityksellistä, kun 
asianmukaisena oikeusperusteena on 6artiklan 1kohdan balakohta ja rekisteröidyt tekevät 
verkkopalveluita koskevan sopimuksen. Tilanteesta riippuen rekisteröidyt saattavat saada virheellisen 
käsityksen siitä, että he antavat suostumuksensa 6 artiklan 1 kohdan a alakohdan mukaisesti, kun he 
allekirjoittavat sopimuksen tai hyväksyvät palveluehdot. Samalla rekisterinpitäjä saattaa virheellisesti 
olettaa, että sopimuksen allekirjoittaminen vastaa 6 artiklan 1 kohdan a alakohdassa tarkoitettua 
suostumusta. Kyseessä ovat täysin eri käsitteet. Koska näitä käsitteitä koskevat erilaiset vaatimukset 
ja niillä on erilaiset oikeudelliset seuraukset, on tärkeää erottaa toisistaan palveluehtojen 
hyväksyminen sopimuksen tekemiseksi ja 6 artiklan 1 kohdan a alakohdassa tarkoitetun suostumuksen 
antaminen. 


Erityisiin luokkiin kuuluvien henkilötietojen osalta tietosuojatyöryhmä on myös todennut suostumusta 
koskevissa suuntaviivoissa seuraavaa: 


”Tarvetta sopimuksen täytäntöön panemiseksi” ei yleisen tietosuoja-asetuksen 9 artiklan 2 
kohdassa tunnusteta poikkeukseksi yleisestä kiellosta käsitellä erityisiä tietoryhmiä. 
Rekisterinpitäjien ja jäsenvaltioiden olisi tämän ongelman ratkaisemiseksi tarkasteltava 9 
artiklan 2 kohdan b-j alakohdassa säädettyjä erityisiä poikkeuksia. Jos mitään b-j alakohdassa 
säädetyistä poikkeuksista ei voida soveltaa, nimenomaisen suostumuksen hankkiminen 
yleisessä tietosuoja-asetuksessa säädettyjen pätevää suostumusta koskevien edellytysten 
mukaisesti on ainoa mahdollinen lainmukainen poikkeus, jonka perusteella tällaisia tietoja 
voidaan käsitellä.” 


2.3 6artiklan 1 kohdan b alakohdan soveltamisala 


Yleisen tietosuoja-asetuksen 6 artiklan 1 kohdan b alakohtaa sovelletaan, kun jompikumpi seuraavista 
ehdoista täyttyy: kyseessä olevan käsittelyn on oltava objektiivisesti tarpeen rekisteröidyn kanssa 
tehdyn sopimuksen täytäntöön panemiseksi, tai käsittelyn on oltava objektiivisesti tarpeen sopimusta 
edeltävien toimenpiteiden toteuttamiseksi rekisteröidyn pyynnöstä. 


2.4 Tarpeellisuus 


Käsittelyn tarpeellisuutta edellytetään molempien 6 artiklan 1 kohdan b alakohdan ehtojen osalta. 
Aluksi on tärkeää todeta, että se, mikä on ”tarpeen sopimuksen täytäntöön panemiseksi”, ei tarkoita 
vain arviota siitä, mitä sopimuksen ehdoissa sallitaan tai mitä niissä lukee. Tarpeellisuuden käsitteellä 
on itsenäinen merkitys Euroopan unionin lainsäädännössä, jossa on huomioitava 
tietosuojalainsäädännön tavoitteet.!* Näin ollen asian yhteydessä on otettava huomioon myös 


14 Lisätietoa 9 artiklaan liittyvistä vaikutuksista on Euroopan tietosuojaneuvoston hyväksymissä asetuksen 2016/679 mukaista 
suostumusta koskevissa 29 artiklan mukaisen tietosuojatyöryhmän suuntaviivoissa (WP259), s. 19—20. 

15 Euroopan tietosuojaneuvoston hyväksymät asetuksen 2016/679 mukaista suostumusta koskevat 29 artiklan mukaisen 
tietosuojatyöryhmän suuntaviivat (WP259), s. 19. 

16 Furoopan unionin tuomioistuin totesi asiassa Huber seuraavaa: ”kyse on yhteisön oikeuden itsenäisestä käsitteestä 
[tarpeellisuus], jota on tulkittava siten, että se vastaa täysimääräisesti tämän direktiivin [direktiivi 95/46/EY] tavoitetta, joka 
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yksityisyyttä ja henkilötietojen suojaa koskeva perusoikeus" sekä tietosuojaperiaatteiden, erityisesti 
kohtuullisuusperiaatteen, vaatimukset. 


Lähtökohtana on käsittelyn tarkoituksen määrittäminen, ja sopimussuhteen yhteydessä käsittelyllä voi 
olla useita erilaisia tarkoituksia. Kyseiset tarkoitukset on määritettävä ja ilmoitettava selkeästi 
rekisteröidylle — rekisterinpitäjän — käyttötarkoitussidonnaisuutta ja läpinäkyvyyttä koskevien 
velvoitteiden mukaisesti. 


Tarpeellisuuden arviointiin sisältyy yhdistetty, tosiasioihin perustuva arviointi käsittelystä ”määritetyn 
tavoitteen kannalta sekä sen osalta, onko käsittely vähemmän tunkeileva verrattuna muihin saman 
tavoitteen saavuttamiseksi käytettävissä oleviin vaihtoehtoihin”.1?8 Jos käytettävissä on realistisia, 
vähemmän tunkeilevia vaihtoehtoja, käsittely ei ole tarpeen.?? Yleisen tietosuoja-asetuksen 6 artiklan 
1 kohdan b alakohtaan ei sisälly käsittely, joka on hyödyllistä mutta ei objektiivisesti tarpeen 
sopimuksen kohteena olevan palvelun suorittamiseksi tai asiaankuuluvien sopimusta edeltävien 
toimien toteuttamiseksi rekisteröidyn pyynnöstä, vaikka se olisi tarpeen rekisterinpitäjän muun 
liiketoiminnan kannalta. 


2.5 Tarpeellinen rekisteröidyn kanssa tehdyn sopimuksen täytäntöön panemiseksi 


Rekisterinpitäjä voi käyttää 6 artiklan 1 kohdan b alakohdassa säädettyä ensimmäistä vaihtoehtoa, kun 
se kykenee 5 artiklan 2 kohdassa säädetyn osoitusvelvollisuuden mukaisesti toteamaan, että käsittely 
suoritetaan rekisteröidyn kanssa tehdyn pätevän sopimuksen yhteydessä ja että käsittely on tarpeen, 
jotta kyseinen rekisteröidyn kanssa tehty sopimus voitaisiin panna täytäntöön. Jos rekisterinpitäjä ei 
voi osoittaa, että a) sopimus on olemassa, b) sopimus on pätevä sovellettavan kansallisen 
sopimuslainsäädännön nojalla ja c) käsittely on objektiivisesti tarpeen sopimuksen täytäntöön 
panemiseksi, rekisterinpitäjän olisi harkittava käsittelylle muuta oikeusperustetta. 


Pelkkä sopimuksessa oleva viittaus tai maininta tietojen käsittelyyn ei riitä siihen, että kyseinen 
käsittely kuuluu 6 artiklan 1 kohdan balakohdan soveltamisalaan. Toisaalta käsittely voi olla 
objektiivisesti tarpeen, vaikka sitä ei erityisesti mainittaisi sopimuksessa. Rekisterinpitäjän on joka 
tapauksessa täytettävä läpinäkyvyyttä koskevat velvoitteensa. Jos rekisterinpitäjä pyrkii toteamaan, 
että käsittely perustuu rekisteröidyn henkilön kanssa tehdyn sopimuksen täytäntöönpanoon, on 
tärkeää arvioida, mikä on objektiivisesti tarpeen sopimuksen täytäntöön panemiseksi. Sopimuslauseke 
on selvästi riittämätön peruste tarpeelle sopimuksen täytäntöön panemiseksi. Tämä on selvää myös 
7 artiklan 4 kohdan perusteella. Vaikka tämä säännös koskee vain suostumuksen pätevyyttä, siinä 
erotellaan havainnollisesti toisistaan sopimuksen täytäntöön panemiseksi tarpeelliset käsittelytoimet 


on määritelty sen 1 artiklan 1 kohdassa. Euroopan yhteisöjen tuomioistuin, asia C-524/06, Heinz Huber v. Saksan 
liittotasavalta, 18. joulukuuta 2008, 52 kohta. 

17 Ks. Euroopan unionin perusoikeuskirjan 7 ja 8 artikla. 

18 Ks. Euroopan tietosuojavaltuutetun ohjeistus: ” Assessing the Necessity of Measures that limit the fundamental right to the 
protection of personal data”, s. 5. 

19 Euroopan unionin tuomioistuin katsoi asiassa Schecke, että henkilötietojen käsittelyn tarpeellisuutta tarkasteltaessa 
lainsäädännössä oli otettava huomioon vaihtoehtoiset, vähemmän tunkeilevat toimenpiteet. Euroopan unionin tuomioistuin, 
yhdistetyt asiat C-92/09 ja C-93/09, Volker und Markus Schecke GbR ja Hartmut Eifert v. Land Hessen, 9. marraskuuta 2010. 
Euroopan unionin tuomioistuin esitti saman näkemyksen myös asiassa Rīgas, jossa se katsoi, että ”[h]enkilötietojen käsittelyn 
tarpeellisuutta koskevasta edellytyksestä on muistutettava, että henkilötietojen suojaa koskevat poikkeukset ja rajoitukset 
on toteutettava täysin välttämättömän rajoissa”. Euroopan unionin tuomioistuin, asia C-13/16, Valsts policijas Rigas reģiona 
pärvaldes Kärtibas policijas pärvalde v. Rigas pasvaldibas SIA ”Rigas satiksme”, 30 kohta. Rajoitettaessa yksityisyyttä ja 
henkilötietojen suojaa koskevien oikeuksien harjoittamista millään tavalla edellytetään tiukkaa tarpeellisuuskoetta, ks. 
Euroopan tietosuojavaltuutetun ohjeistus: ”Assessing the Necessity of Measures that limit the fundamental right to the 
protection of personal data”, s. 7. 
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ja lausekkeet, joilla palvelun ehdoksi asetetaan tiettyjä käsittelytoimia, jotka eivät itse asiassa ole 
tarpeen sopimuksen täytäntöön panemiseksi. 


Tältä osin Euroopan tietosuojaneuvosto suosittelee tietosuojatyöryhmän aiemmin antamia ohjeita 
aiemman direktiivin vastaavasta säännöksestä. Ohjeiden mukaan käsitettä ”tarpeellinen rekisteröidyn 
henkilön kanssa tehdyn sopimuksen täytäntöön panemiseksi” 


... tulkittava tiukasti, eikä se kata tilanteita, joissa käsittely ei ole aidosti tarpeen sopimuksen 
täytäntöön panemiseksi vaan pikemminkin rekisterinpitäjän yksipuolisesti rekisteröidylle 
määräämää. Myöskään se, että jokin tietojenkäsittely kuuluu sopimuksen piiriin, ei 
automaattisesti merkitse sitä, että käsittely on tarpeen kyseisen sopimuksen täytäntöön 
panemiseksi. — — Vaikka tällaiset käsittelytoimet mainittaisiin nimenomaisesti sopimuksen 
pienellä painetussa tekstissä, tämä sinänsä ei tee niistä ”tarpeellisia” sopimuksen täytäntöön 
panemiseksi.?? 


Euroopan tietosuojaneuvosto muistuttaa myös samoista tietosuojatyöryhmän ohjeista, joissa 
todetaan seuraavaa: 


Tässä on havaittavissa selvä yhteys tarpeellisuuden arvioinnin ja 
käyttötarkoitussidonnaisuuttakoskevan periaatteen noudattamisen välillä. On tärkeää 
määritellä sopimuksen tarkka tarkoitus eli sen sisältö ja perustavoite, koska tämän perusteella 
arvioidaan, onko tietojenkäsittely tarpeen sopimuksen täytäntöön panemiseksi.” 


Kun arvioidaan, onko 6artiklan 1kohdan balakohta asianmukainen = oikeusperuste 
sopimusperusteisen verkkopalvelun yhteydessä tapahtuvaa käsittelyä varten, on tarkasteltava 
palvelun erityistä päämäärää, tarkoitusta tai tavoitetta. Jotta 6 artiklan 1 kohdan b alakohtaa voitaisiin 
soveltaa, edellytyksenä on, että käsittely on objektiivisesti tarpeen sellaisen käyttötarkoituksen 
kannalta, joka on olennainen kyseisen sopimusperusteisen palvelun toimittamiseksi rekisteröidylle. 
Maksutietojen käsittely maksun perimiseksi palvelusta sisältyy tähän. Rekisterinpitäjän olisi voitava 
osoittaa, kuinka rekisteröidyn kanssa tehdyn kyseisen sopimuksen pääsisältöä ei voida tosiasiallisesti 
panna täytäntöön, ellei kyseessä olevia henkilötietoja käsitellä. Tärkeitä seikkoja tässä yhteydessä ovat 
kyseessä olevien henkilötietojen ja käsittelytoimien yhteys sekä sopimuksen perusteella toimitettavan 
palvelun suorittaminen tai suorittamatta jättäminen. 


Digitaalisia palveluita koskeviin sopimuksiin voi sisältyä nimenomaisia ehtoja, joilla määrätään muun 
muassa mainontaa, maksuja tai evästeitä koskevia ehtoja. Sopimuksella ei voida keinotekoisesti 
laajentaa henkilötietojen luokkia tai sellaisten käsittelytoimien tyyppejä, jotka rekisterinpitäjän täytyy 
suorittaa sopimuksen täytäntöön panemiseksi 6 artiklan 1 kohdan b alakohdan mukaisesti. 


Rekisterinpitäjän pitäisi kyetä perustelemaan käsittelynsä tarpeellisuus viittaamalla sopimukseen 
sisältyvään olennaiseen ja keskinäisesti ymmärrettyyn käyttötarkoitukseen. Tämä riippuu sekä 
rekisterinpitäjän näkemyksestä että rekisteröidyn kohtuullisesta näkemyksestä sopimuksen tekemisen 
yhteydessä ja lisäksi siitä, voidaanko edelleen katsoa, että sopimus pannaan täytäntöön, jos kyseistä 
käsittelyä ei suoriteta. Vaikka käsittely voi rekisterinpitäjän näkemyksen mukaan olla tarpeellinen 
sopimuksen tarkoituksen kannalta, on tärkeää, että rekisterinpitäjä tarkastelee huolellisesti 
keskimääräisen rekisteröidyn näkemystä, jotta varmistettaisiin, että sopimuksen tarkoituksesta on 
olemassa aito keskinäinen ymmärrys. 


20 29 artiklan mukaisen tietosuojatyöryhmän lausunto 6/2014 direktiivin 95/46/EY 7 artiklan mukaisesta rekisterinpitäjän 
oikeutetun intressin käsitteestä (WP217), s. 16—17. 
21 Ibid., s. 17. 
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Seuraavista kysymyksistä voi olla apua, kun arvioidaan, voidaanko 6 artiklan 1 kohdan alakohtaa 
soveltaa: 


e Millainen rekisteröidylle toimitettava palvelu on luonteeltaan? Mitkä ovat sen 
ominaispiirteet? 


e Mitkä ovat sopimukset tarkat perusteet (eli sen pääsisältö ja perustavoite)? 
e Mitkä ovat sopimuksen oleelliset osat? 


e Mitkä ovat sopimuksen osapuolten keskinäiset näkemykset ja odotukset? Kuinka palvelua 
esitellään tai mainostetaan rekisteröidylle? Olettaisiko palvelun tavallinen käyttäjä 
kohtuudella ja palvelun luonteen huomioon ottaen, että suunniteltu käsittely suoritetaan 
käyttäjän tekemän sopimuksen täytäntöön panemiseksi? 


Arviointi siitä, mikä on tarpeen sopimuksen täytäntöön panemiseksi, on tehtävä ennen käsittelyn 
aloittamista. Jos arvioinnissa ilmenee, että käsittely on suunniteltu laajemmaksi kuin mikä on tarpeen 
sopimuksen täytäntöön panemiseksi, tämä ei itsessään tee myöhemmästä käsittelystä lainvastaista. 
Kuten edellä mainitaan, 6 artiklasta käy ilmi, että ennen käsittelyn aloittamista on mahdollista käyttää 
muita laillisia perusteita.?? 


Jos palvelun elinkaaren aikana otetaan käyttöön uutta teknologiaa, joka muuttaa henkilötietojen 
käsittelytapaa, tai jos palvelu kehittyy muulla tavoin, edellä mainitut perusteet on arvioitava uudelleen 
sen määrittämiseksi, voivatko uudet tai muuttuneet käsittelymenettelyt perustua 6 artiklan 1 kohdan 
b alakohtaan. 








Esimerkki 1 


Rekisteröity ostaa tavaroita verkkokauppaa harjoittavalta vähittäismyyjältä. Rekisteröity haluaa 
maksaa luottokortilla ja pyytää, että tuotteet toimitetaan hänen kotiosoitteeseensa. Voidakseen 
panna sopimuksen täytäntöön vähittäismyyjän täytyy käsitellä rekisteröidyn luottokorttitiedot ja 
maksuosoite maksun suorittamista varten ja rekisteröidyn kotiosoite toimitusta varten. Näin ollen 
6 artiklan 1 kohdan b alakohtaa voidaan käyttää näiden käsittelytoimien oikeusperusteena. 


Jos asiakas kuitenkin on valinnut lähetyksen noutopisteeseen, rekisteröidyn kotiosoitteen käsittely ei 
ole enää tarpeen ostosopimuksen täytäntöön panemiseksi. Rekisteröidyn osoitteen käsittely tässä 
yhteydessä edellyttää jotain muuta oikeusperustetta kuin 6 artiklan 1 kohdan b alakohta. 











Esimerkki 2 


Sama verkkokauppaa harjoittava vähittäismyyjä haluaa rakentaa käyttäjien mieltymyksiä ja 
elämäntapavalintoja koskevia profiileja, jotka perustuvat käyttäjien vierailuihin verkkosivustolla. 
Ostosopimuksen tekeminen ei ole riippuvainen kyseisenlaisten profiilien rakentamisesta. Vaikka 
profilointi mainitaan erityisesti sopimuksessa, tämä seikka ei tee siitä tarpeellista sopimuksen 


2 Ks. Euroopan tietosuojaneuvoston hyväksymät asetuksen 2016/679 mukaista suostumusta koskevat 29 artiklan mukaisen 
tietosuojatyöryhmän suuntaviivat (WP259), s. 31. Suuntaviivoissa todetaan seuraavaa: ”Yleisen tietosuoja-asetuksen nojalla 
ei voida vaihtaa laillisesta perusteesta toiseen.” 
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täytäntöön panemisen kannalta. Jos verkkokauppaa harjoittava vähittäismyyjä haluaa suorittaa 
tällaista profilointia, sen täytyy käyttää muuta oikeusperustetta. 





Rekisterinpitäjillä on vapaus suunnitella oma liiketoimintansa, palvelunsa ja sopimuksensa 
sopimusoikeuden ja mahdollisesti sovellettavan kuluttajaoikeuden rajoissa. Joissain tapauksissa 
rekisterinpitäjä saattaa haluta niputtaa yhteen sopimukseen useita erillisiä palveluita tai palvelun osia, 
joiden perustarkoitukset, ominaisuudet tai perusteet eroavat toisistaan. Näin saatetaan luoda ”ota tai 
jätä” -tilanne rekisteröidyille, jotka ovat kiinnostuneita vain yhdestä palvelusta. 


Tietosuojalainsäädännön nojalla rekisterinpitäjien täytyy ottaa huomioon, että suunnitelluilla 
käsittelytoimilla on oltava asianmukainen oikeusperuste. Mikäli sopimus koostuu useista erillisistä 
palveluista tai palvelun osista, jotka voidaan kohtuudella suorittaa toisistaan riippumatta, esiin nousee 
kysymys siitä, miltä osin 6 artiklan 1 kohdan b alakohtaa voidaan käyttää oikeusperusteena. Asetuksen 
6 artiklan 1 kohdan b alakohdan soveltaminen on arvioitava kunkin kyseessä olevan palvelun osalta 
erikseen siten, että tarkastellaan, mikä on objektiivisesti tarpeen kunkin sellaisen yksittäisen palvelun 
suorittamiseksi, joita rekisteröity on aktiivisesti pyytänyt tai jotka tämä on tilannut. Arvioinnissa 
saattaa ilmetä, että tietyt käsittelytoimet eivät ole tarpeen rekisteröidyn pyytämien yksittäisten 
palveluiden kannalta vaan sen sijaan rekisterinpitäjän laajemman liiketoimintamallin kannalta. Tällöin 
6 artiklan 1 kohdan b alakohta ei voi olla oikeusperuste kyseisille toimille. Kyseistä käsittelyä varten voi 
kuitenkin olla saatavilla muita oikeusperusteita, esimerkiksi 6 artiklan 1 kohdan a tai f alakohta, mikäli 
asiaankuuluvat perusteet täyttyvät. Näin ollen 6 artiklan 1 kohdan b alakohdan sovellettavuuden 
arviointi ei sinällään vaikuta sopimuksen laillisuuteen tai palveluiden niputtamiseen. 


Kuten tietosuojatyöryhmä on aiemmin todennut, tätä oikeusperustetta sovelletaan vain siihen, mikä 
on tarpeen sopimuksen täytäntöön panemiseksi. Sellaisenaan sitä ei automaattisesti sovelleta 
mihinkään noudattamatta jättämisen käynnistämiin jatkotoimiin eikä muihin ongelmiin sopimuksen 
täytäntöönpanossa. Tietyt toimet voidaan kuitenkin ennakoida kohtuudella, ja ne ovat tarpeen 
tavallisessa sopimussuhteessa. Tällaisia toimia ovat muun muassa virallisten muistutusten 
lähettäminen maksamattomista maksuista tai virheiden korjaaminen tai sopimuksen täytäntöönpanoa 
koskevat viipeet. Asetuksen 6 artiklan 1 kohdan balakohtaa voidaan soveltaa henkilötietojen 
käsittelyyn, joka on tarpeen tällaisten toimien osalta. 








Esimerkki 3 


Yritys myy tuotteita verkossa. Asiakas ottaa yhteyttä yritykseen, koska ostetun tuotteen väri poikkeaa 
sovitusta. Asiakkaan henkilötietojen käsittely tämän ongelman korjaamiseksi voi perustua 6 artiklan 
1 kohdan b alakohtaan. 





Sopimustakuu voi olla osa sopimuksen täytäntöön panemista. Täten tiettyjen tietojen tallentaminen 
takuuta varten tietyksi säilytysajaksi sen jälkeen, kun tavarat/palvelut on toimitettu tai maksu on 
suoritettu kokonaan, voi olla tarpeen sopimuksen täytäntöön panemiseksi. 


23 29 artiklan mukaisen tietosuojatyöryhmän lausunto 6/2014 direktiivin 95/46/EY 7 artiklan mukaisesta rekisterinpitäjän 
oikeutetun intressin käsitteestä (WP217), s. 17—18. 
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2.6 Sopimuksen päättäminen 


Rekisterinpitäjän on määritettävä asianmukainen oikeusperuste suunnitelluille käsittelytoimille ennen 
käsittelyn alkamista. Mikäli joidenkin tai kaikkien käsittelytoimien perusteena käytetään 6 artiklan 
1 kohdan b alakohtaa, rekisterinpitäjän tulisi ennakoida, mitä tapahtuu, jos kyseinen sopimus 
päätetään. 


Mikäli henkilötietojen käsittely perustuu 6 artiklan 1 kohdan b alakohtaan ja sopimus päätetään täysin, 
yleisenä sääntönä on, että kyseisten tietojen käsittely ei ole enää tarpeen tämän sopimuksen 
täytäntöön panemiseksi ja rekisterinpitäjän on lopetettava tietojen käsittely. Rekisteröity on saattanut 
toimittaa henkilötietonsa sopimussuhteen yhteydessä luottaen siihen, että tietoja käsitellään vain 
tarpeellisena osana sopimussuhdetta. Täten on yleisesti ottaen epäasianmukaista vaihtaa uuteen 
oikeusperusteeseen, kun alkuperäistä perustetta ei ole enää olemassa. 


Sopimuksen päättämiseen saattaa liittyä joitain hallinnollisia toimia, kuten tavaroiden tai maksujen 
palautuksia. Näihin liittyvä käsittely voi perustua 6 artiklan 1 kohdan b alakohtaan. 


Lisäksi 17 artiklan 1 kohdan a alakohdassa säädetään, että henkilötiedot on poistettava, kun niitä ei 
enää tarvita niihin tarkoituksiin, joita varten ne kerättiin. Tätä ei kuitenkaan sovelleta, jos käsittely on 
tarpeen erityisiä tarkoituksia varten, joihin sisältyvät 17 artiklan 3 kohdan b alakohdan mukainen 
lakisääteinen velvoite tai 17 artiklan 3 kohdan ealakohdan mukainen oikeudellisen vaateen 
laatiminen, esittäminen tai puolustaminen. Jos rekisterinpitäjillä on yleinen tarve säilyttää tietoja 
oikeudellisia tarkoituksia varten, niiden on määritettävä oikeusperuste tätä varten käsittelyn 
aloittamisen yhteydessä. Rekisterinpitäjien on alusta alkaen ilmoitettava selkeästi, kuinka kauan ne 
aikovat säilyttää tiedot näitä oikeudellisia tarkoituksia varten sopimuksen päättämisen jälkeen. Näin 
niiden ei tarvitse poistaa tietoja, kun sopimus päätetään. 


Joka tapauksessa saattaa olla niin, että käsittelyn aloittamisen yhteydessä on määritetty useita 
käsittelytoimia, joilla on erilliset tarkoitukset ja oikeusperusteet. Edellyttäen, että muut käsittelytoimet 
ovat edelleen laillisia ja rekisterinpitäjä on ilmoittanut näistä toimista selkeästi käsittelyn aloittamisen 
yhteydessä yleisessä tietosuoja-asetuksessa säädettyjen läpinäkyvyyttä koskevien velvoitteiden 
mukaisesti, rekisteröityä koskevia henkilötietoja voidaan edelleen käsitellä näitä erillisiä tarkoituksia 
varten sopimuksen päättämisen jälkeen. 








Esimerkki 4 


Verkkopalvelu tarjoaa tilauspalvelua, joka voidaan perua milloin tahansa. Kun palvelua koskeva 
sopimus tehdään, rekisterinpitäjä toimittaa rekisteröidylle tietoa henkilötietojen käsittelystä. 


Rekisterinpitäjä selittää muun muassa, että sopimuksen ollessa voimassa rekisterinpitäjä käsittelee 
palvelun käyttöä koskevia tietoja laskujen lähettämistä varten. Sovellettava oikeusperuste on 
6 artiklan 1 kohdan b alakohta, sillä tietojen käsittely laskutustarkoitusta varten voidaan katsoa 
objektiivisesti tarpeelliseksi — sopimuksen täytäntöön — panemista varten. — Sopimuksen 
päättämisenyhteydessä käyttöhistoria kuitenkin poistetaan, mikäli ei olemassa vireillä olevia, 
asiaankuuluvia oikeudellisia vaateita tai lakisääteisiä vaatimuksia, joiden vuoksi tiedot on säilytettävä. 


24 Jos sopimus mitätöidään myöhemmin, tämä vaikuttaa jatkuvan käsittelyn laillisuuteen (5 artiklan 1 kohdan a alakohdan 
merkityksessä). Se ei kuitenkaan automaattisesti tarkoita, että 6 artiklan 1 kohdan b alakohta valittiin virheellisesti 
oikeusperusteeksi. 
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Lisäksi rekisterinpitäjä ilmoittaa rekisteröidyille, että sillä on kansallisen lainsäädännön nojalla 
lakisääteinen velvoite säilyttää tiettyjä henkilötietoja kirjanpitotarkoituksia varten tietyn vuosimäärän 
ajan. Asianmukainen oikeusperuste on 6 artiklan 1 kohdan c alakohta, ja tiedot säilytetään, vaikka 
sopimus päätettäisiin. 





2.7 Tarpeellinen sopimuksen tekemistä edeltävien toimenpiteiden toteuttamiseksi 


Toista 6 artiklan 1 kohdan b alakohdan mukaista vaihtoehtoa sovelletaan, kun käsittely on tarpeen 
sopimuksen tekemistä edeltävien toimenpiteiden toteuttamiseksi rekisteröidyn pyynnöstä. Tässä 
säännöksessä huomioidaan se seikka, että alustava henkilötietojen käsittely voi olla tarpeen ennen 
sopimuksen tekemistä, jotta helpotettaisiin varsinaista sopimuksen tekemistä. 


Käsittelyhetkellä ei välttämättä ole selvää, tehdäänkö sopimus tosiasiassa. Asetuksen 6 artiklan 
1 kohdan b alakohtaa voidaan kuitenkin soveltaa edellyttäen, että rekisteröity esittää pyynnön, kun 
sopimuksen tekemistä suunnitellaan ja kyseinen käsittely on tarpeen pyydettyjen toimenpiteiden 
toteuttamiseksi. Tämän mukaisesti, mikäli rekisteröity ottaa yhteyttä rekisterinpitäjään saadakseen 
tarkempaa tietoa rekisterinpitäjän palveluntarjonnasta, rekisteröidyn henkilötietojen käsittely 
tiedusteluun vastaamiseksi voi perustua 6 artiklan 1 kohdan b alakohtaan. 


Tämä säännös ei missään tapauksessa koske ei-toivottua markkinointia tai muuta menettelyä, joka 
suoritetaan pelkästään rekisterinpitäjän aloitteesta tai kolmannen osapuolen pyynnöstä. 








Esimerkki 5 


Rekisteröity ilmoittaa postinumeronsa saadakseen selville, toimiiko tietty palveluntarjoaja hänen 
asuinseudullaan. Tämä voidaan katsoa 6 artiklan 1 kohdan b alakohdan mukaiseksi käsittelyksi, joka 
on tarpeen sopimuksen tekemistä edeltävien toimenpiteiden toteuttamiseksi rekisteröidyn 
pyynnöstä. 











Esimerkki 6 


Joissain tapauksissa rahoituslaitoksilla on velvollisuus tunnistaa asiakkaansa kansallisen lainsäädännön 
mukaisesti. Tämän vuoksi pankki pyytää saada nähdä rekisteröityjen henkilötodistukset, ennen kuin se 
tekee sopimuksen heidän kanssaan. 


Tässä tapauksessa tunnistaminen on tarpeen pankkia koskevan lakisääteisen velvoitteen vuoksi eikä 
sen vuoksi, että toteutetaan toimenpiteitä rekisteröidyn pyynnöstä. Näin ollen asianmukainen 
oikeusperuste on 6 artiklan 1 kohdan b alakohdan sijasta 6 artiklan 1 kohdan c alakohta. 
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48. 


49. 


50. 


51. 


3 OSA 3- 6 ARTIKLAN 1 KOHDAN B ALAKOHDAN SOVELTAMINEN 
ERITYISISSÄ TILANTEISSA 


3.1 Käsittely palvelun parantamista varten” 


Verkkopalvelut keräävät usein yksityiskohtaista tietoa siitä, kuinka käyttäjät käyttävät niiden palvelua. 
Useimmiten palveluun tai käyttäjien käyttäytymisen yksityiskohtiin liittyvien organisatoristen 
mittarien keruuta ei voida pitää tarpeellisena palvelun tarjoamiseksi, sillä palvelu voitaisiin tarjota, 
vaikka kyseisiä henkilötietoja ei käsiteltäisi. Palveluntarjoaja saattaa kuitenkin pystyä käyttämään 
käsittelyn perusteena vaihtoehtoisia laillisia perusteita, kuten oikeutettua etua tai suostumusta. 


Euroopan tietosuojaneuvosto ei katso, että 6 artiklan 1 kohdan b alakohta on yleisesti asianmukainen 
laillinen peruste palvelun parantamista varten tai uusien toimintojen kehittämistä varten olemassa 
olevan palvelun sisällä. Useimmiten käyttäjä tekee sopimuksen hyödyntääkseen olemassa olevaa 
palvelua. Vaikka palvelun parantamista ja siihen tehtäviä muutoksia koskeva mahdollisuus saatetaan 
tavanomaisesti sisällyttää sopimusehtoihin, tällaista käsittelyä ei yleensä voida pitää objektiivisesti 
tarpeellisena käyttäjän kanssa tehdyn sopimuksen täytäntöön panemiseksi. 


3.2 Käsittely petosten ehkäisemiseksi 


Kuten tietosuojatyöryhmä on aiemmin todennut?, petosten ehkäisemistä koskevaan käsittelyyn 
saattaa liittyä asiakkaiden seurantaa ja profilointia. Euroopan tietosuojaneuvoston näkemyksen 
mukaan tällainen käsittely todennäköisesti ylittää sen, mikä on objektiivisesti tarpeen rekisteröidyn 
henkilön kanssa tehdyn sopimuksen täytäntöön panemiseksi. Ehdottoman välttämätön 
henkilötietojen käsittely petosten estämistarkoituksissa on mahdollisesti myös asianomaisen 
rekisterinpitäjän oikeutetun edun mukaista?%, ja näin ollen se voidaan katsoa lailliseksi, jos 
rekisterinpitäjä täyttää 6 artiklan 1 kohdan f alakohdan (oikeutetut edut) erityiset vaatimukset. Lisäksi 
6 artiklan 1 kohdan c kohta (lakisääteinen velvoite) voi myös olla laillinen peruste tällaiselle tietojen 
käsittelylle. 


3.3 Käsittely käyttötottumuksia seuraavaa mainontaa varten 


Käyttötottumuksia seuraavaa mainontaa ja siihen liittyvää rekisteröityjen henkilöiden seurantaa ja 
profilointia käytetään usein verkkopalveluiden rahoittamiseen. Tietosuojatyöryhmä on aiemmin 
esittänyt näkemyksensä kyseisenlaisesta käsittelystä seuraavasti: 


[sopimusperusteinen tarpeellisuus] ei ole asianmukainen oikeudellinen peruste luoda käyttäjän 
mieltymys- ja elämäntapaprofiili hänen jollain verkkosivustolla tekemiensä klikkausten ja 
hankkimiensa tuotteiden pohjalta. Tämä johtuu siitä, että rekisterinpitäjän kanssa ei ole tehty 


25 Verkkopalveluiden on mahdollisesti myös otettava huomioon tietyistä digitaalisen sisällön ja digitaalisten palvelujen 
toimittamista koskeviin sopimuksiin liittyvistä seikoista 20 päivänä toukokuuta 2019 annettu Euroopan parlamentin ja 
neuvoston direktiivi (EU) 2019/770 (EUVL L 136, 22.5.2019, s. 1), jota sovelletaan 1. tammikuuta 2022 alkaen. 

26 29 artiklan mukaisen tietosuojatyöryhmän lausunto 6/2014 direktiivin 95/46/EY 7 artiklan mukaisesta rekisterinpitäjän 
oikeutetun intressin käsitteestä (WP217), s. 17. 

2 Ks. johdanto-osan 47 kappaleen kuudes virke. 
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52. 


53. 


54. 


55. 


56. 


sopimusta profiloinnin tekemisestä vaan esimerkiksi tiettyjen tavaroiden ja palvelujen 
toimittamisesta.?? 


Yleissääntönä on, että henkilötietojen käsittely käyttötottumuksia seuraavaa mainontaa varten ei ole 
tarpeen verkkopalveluita koskevan sopimuksen täytäntöön panemiseksi. Tavallisesti olisi vaikeaa 
väittää, että sopimusta ei pantu täytäntöön, koska käyttötottumuksiin perustuvia mainoksia ei ollut. 
Tätä tukee vielä vahvemmin se, että 21 artiklan nojalla rekisteröidyillä on ehdoton oikeus vastustaa 
tietojensa käsittelyä suoramarkkinointia varten. 


Tämän lisäksi 6 artiklan 1 kohdan b alakohta ei voi olla laillinen peruste käyttötottumuksia seuraavaa 
verkkomainontaa varten, koska kyseisellä mainonnalla rahoitetaan epäsuorasti palvelun tarjoaminen. 
Vaikka tällaisella käsittelyllä saatetaan tukea palvelun toimittamista, tämä ei itsessään riitä 
osoittamaan, että käsittely on tarpeen kyseessä olevan sopimuksen täytäntöön panemiseksi. 
Rekisterinpitäjän olisi otettava huomioon 33 kohdassa tarkoitetut tekijät. 


Ottaen huomioon, että tietosuoja on Euroopan unionin perusoikeuskirjan 8 artiklassa taattu 
perusoikeus ja että yksi yleisen tietosuoja-asetuksen päätarkoituksista on varmistaa rekisteröityjen 
kyky valvoa itseään koskevaa tietoa, henkilötietoja ei voida pitää kaupattavana hyödykkeenä. Vaikka 
rekisteröity voi suostua henkilötietojen käsittelyyn??, hän ei voi luopua perusoikeuksistaan antamalla 
tällaisen suostumuksen.30 


Euroopan tietosuojaneuvosto toteaa myös, että sähköisen viestinnän tietosuojaa koskevien 
vaatimusten ja käyttötottumuksia seuraavaa mainontaa koskevan tietosuojatyöryhmän aiemman 
lausunnon?! sekä evästeitä koskevan suostumuksen hankkimisohjeita koskevan valmisteluasiakirjan 
2/20133? mukaisesti — rekisterinpitäjien on saatava €rekisteröidyiltä etukäteissuostumus 
käyttötottumuksia seuraavaa mainontaa varten tarvittavien evästeiden käyttämiseksi. 


Euroopan tietosuojaneuvosto toteaa myös, että käyttäjiä voidaan seurata ja profiloida sellaisten 
käyttäjäryhmien tunnistamiseksi, joilla on samanlaisia piirteitä, jotta mainontaa voitaisiin kohdentaa 
samankaltaisille yleisöille. Tällaista käsittelyä ei voida suorittaa 6 artiklan 1 kohdan a alakohdan 
perusteella, sillä ei voida todeta, että käyttäjän kanssa tehdyn sopimuksen täytäntöön panemiseksi on 
objektiivisesti tarpeen seurata ja vertailla käyttäjien ominaisuuksia ja käyttäytymistä sellaisia 
tarkoituksia varten, jotka liittyvät muille henkilöille esitettävään mainontaan. 


28 29 artiklan mukaisen tietosuojatyöryhmän lausunto 6/2014 direktiivin 95/46/EY 7 artiklan mukaisesta rekisterinpitäjän 
oikeutetun intressin käsitteestä (WP217), s. 17. 

29 Ks. tietyistä digitaalisen sisällön ja digitaalisten palvelujen toimittamista koskeviin sopimuksiin liittyvistä seikoista 
20 päivänä toukokuuta 2019 annettu Euroopan parlamentin ja neuvoston direktiivi (EU) 2019/770. 

30 Sen lisäksi, että henkilötietojen käyttöä säännellään yleisellä tietosuoja-asetuksella, on muitakin syitä, joiden vuoksi 
henkilötietojen käyttö on käsitteellisesti eri asia kuin rahalliset maksut. Rahaa voidaan esimerkiksi laskea, mikä tarkoittaa, 
että kilpailukykyisillä markkinoilla hintoja voidaan vertailla, ja rahallisia maksuja voidaan tavallisesti tehdä vain siten, että 
rekisteröity on niissä osallisena. Lisäksi usea palvelu voi hyödyntää henkilötietoja samanaikaisesti. Kun rekisteröity on 
menettänyt kyvyn valvoa henkilötietojaan, tätä kykyä ei välttämättä voi enää saada takaisin. 

31 29 artiklan mukaisen tietosuojatyöryhmän lausunto 2/2010 käyttötottumuksia seuraavasta internetmainonnasta (WP171). 
32 29 artiklan mukaisen tietosuojatyöryhmän valmisteluasiakirja ”Working Document 02/2013 providing guidance on 
obtaining consent for cookies” (WP208). 

33 Ks. myös Euroopan tietosuojaneuvoston hyväksymät automatisoituja yksittäispäätöksiä ja profilointia asetuksen (EU) 
2016/679 täytäntöön panemiseksi koskevat 29 artiklan mukaisen tietosuojatyöryhmän suuntaviivat (WP251rev.01), s. 13. 
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57. 


3.4 Käsittely sisällön räätälöintiä varten?* 


Euroopan tietosuojaneuvosto tunnustaa, että sisällön räätälöinti voi olla (mutta ei aina ole) olennainen 
ja odotettu osa tiettyjä verkkopalveluita, ja näin ollen sen voidaan katsoa olevan tarpeen palvelun 
käyttäjän kanssa tehdyn sopimuksen täytäntöön panemiseksi joissain tapauksissa. Se, voidaanko 
tällaista käsittelyä pitää verkkopalvelun olennaisena osana, riippuu tarjotun palvelun luonteesta, 
keskimääräisen rekisteröidyn odotuksista, jotka koskevat sekä palvelua että tapaa, jolla palvelua 
mainostetaan käyttäjille, sekä siitä, voidaanko palvelu tarjota ilman räätälöintiä. Mikäli sisällön 
räätälöinti ei ole objektiivisesti tarpeen taustalla olevaa sopimusta varten, esimerkiksi jos räätälöityä 
sisältöä toimitetaan käyttäjän sitouttamiseksi palveluun mutta räätälöity sisältö ei ole olennainen osa 
palvelun käyttämistä, rekisterinpitäjien olisi soveltuvin osin harkittava vaihtoehtoista laillista 
perustetta. 








Esimerkki 7 


Verkossa toimiva hotellihakukone seuraa käyttäjien aiempia varauksia luodakseen profiilin heidän 
tyypillisistä majoittumismenoistaan. Myöhemmin profiilin avulla suositellaan käyttäjälle tiettyjä 
hotelleita, kun hakutulokset esitetään. Tässä tapauksessa käyttäjän aikaisemman käyttäytymisen ja 
taloudellisten tietojen profilointi ei ole objektiivisesti tarpeen sopimuksen täytäntöön panemiseksi eli 
majoituspalveluiden toimittamiseksi käyttäjän ilmoittamien tiettyjen hakuehtojen perusteella. Näin 
ollen 6 artiklan 1 kohdan b alakohtaa ei voida soveltaa näihin käsittelytoimiin. 











Esimerkki 8 


Verkossa toimiva markkinapaikka sallii mahdollisten ostajien selata ja ostaa tuotteita. Markkinapaikka 
haluaa lisätä vuorovaikutusta esittämällä räätälöityjä tuote-ehdotuksia sen perusteella, mitä 
ilmoituksia mahdolliset ostajat ovat aiemmin katselleet alustalla. Räätälöinti ei ole objektiivisesti 
tarpeen markkinapaikkapalvelun tarjoamista varten. Näin ollen tällaisen henkilötietojen käsittelyn 
oikeusperusteena ei voida käyttää 6 artiklan 1 kohdan b alakohtaa. 





34 Verkkopalveluiden on mahdollisesti myös otettava huomioon tietyistä digitaalisen sisällön ja digitaalisten palvelujen 
toimittamista koskeviin sopimuksiin liittyvistä seikoista 20 päivänä toukokuuta 2019 annettu Euroopan parlamentin ja 
neuvoston direktiivi (EU) 2019/770 (EUVL L 136, 22.5.2019, s. 1), jota sovelletaan 1. tammikuuta 2022 alkaen. 
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